PARTIE 2 : ADMINISTRATION ET SUPERVISION DES RESEAUX

DOSSIER PROJET MASTER 2 RESEAUX et TELECOMMUNICATIONS

Présenté par : Habib BALE Thillo TALL

TABLE DES MATIÈRES
Introduction .........................................................................................................................3 1. LogLogic .........................................................................................................................4 A. Presentation ................................................................................................................4 B. Collecte .......................................................................................................................4 C. Normalisation ..............................................................................................................4 D. Agrégation ..................................................................................................................4 E. Corrélation ..................................................................................................................4 F. Gestion des alertes .....................................................................................................5 2. Prelude ...........................................................................................................................6 A. Présentation ................................................................................................................6 B. Collecte .......................................................................................................................6 C. Normalisation ..............................................................................................................6 D. Agrégation ..................................................................................................................7 E. Corrélation ..................................................................................................................7 F. Gestion des alertes .....................................................................................................7 3. Net Report ......................................................................................................................9 A. Presentation ...............................................................................................................9 B. Net Report Monitoring Center .....................................................................................9 C. Net Report Tool Kit .....................................................................................................9 D. Net Report appliances ................................................................................................9 E. L offre Net Report en contexte ..................................................................................10 F. Collecte .....................................................................................................................11 G. Filtrage et Enrichissement des données ...................................................................11 H. Base de données ......................................................................................................11 I. Génération de tableaux de bord ................................................................................12 J. Customisation des Rapports ......................................................................................12 K. Corrélation et Alerting ...............................................................................................12 4. Log One de NS One .....................................................................................................14 A. Presentation ..............................................................................................................14 B. Principe de fonctionnement .......................................................................................14 C. Collecte.....................................................................................................................14 D. Rapatriement, filtrage, corrélation et stockage ..........................................................14 E. Elaboration de rapports détaillés ...............................................................................15 5. Cisco Security Mars .....................................................................................................16 A. Presentation ..............................................................................................................16 B. Les appliances CS MARS .........................................................................................16 C. La gestion des problématiques STM .........................................................................18 D. La gestion des alarmes avec CS MARS ...................................................................20 E. Gestion de l'archivage avec CS MARS .....................................................................21 F. Les rapports sous CS MARS.....................................................................................21 G.Quelques considérations d'architecture .....................................................................24 6. Arcsight ESM ................................................................................................................25 A. Presentation:.............................................................................................................25 B. Arcsight manager ......................................................................................................27 C. Collecte.....................................................................................................................27 D. Arcsight Base de Données........................................................................................28 E. Analyse de la securité avec la console arcsight ........................................................28 F. Gestion des alertes ...................................................................................................29 G. Corrélation ................................................................................................................29 H. Automatisation de conformité....................................................................................30 Conclusion : ......................................................................................................................31

INTRODUCTION
Depuis quelques années, les entreprises perçoivent l'intérêt d'exploiter les nombreuses traces, événements et autres données d'audit logicielles, pour obtenir une image plus objective de leur sécurité informatique. A ce besoin, les éditeurs ont répondu par une gamme de produits communément appelés SIEM. Sans entrer dans le débat sémantique consistant à utiliser cette appellation générique ou une typologie plus pointue distinguant les SEM (Security Event Management) qui n'exploitent que des données événementielles (logs), des SIM (Security Information/Incident Management) qui prennent en compte d'autres sources (résultats de scans par l'antivirus, par exemple), le SIEM-type est une couche de collecte filtrant différentes sources pour ne conserver que les événements de sécurité informatique. C'est aussi une couche de stockage souvent centralisé, une couche de valorisation (corrélation, alerte, reporting) permettant d'exploiter les événements de sécurité et une couche de présentation. Les SIEM ont une architecture souvent complexe, une centralisation fréquente des données qui n'est pas toujours compatible avec les contraintes d'utilisation d'une grande entreprise (organisation géographiquement distribuée) et une orientation trop SSI, limitant le ROI « à la source » (filtrage lors de la collecte), même si les SIEM ont trouvé un second souffle bienvenu, avec les grands projets de conformité de type SOX. Ces critiques récurrentes ont conduit à l'émergence des solutions dites de « Log Management » ou Gestion des Logs, conciliant des possibilités de collecte beaucoup plus larges, des capacités de stockage ad hoc et des fonctionnalités basiques de requête et de reporting. Ce nouveau marché s'articule aussi bien autour de pure players - LogLogic étant le plus connu d'entre eux - que d'éditeurs de SIEM ayant senti la tendance et complétant leur offre avec des composants dédiés au log management : ArcSight avec ArcSight Logger et ArcSight Connectors,CS-MARS avec certaines appliances de la série, Log One, etc. Malgré cette effervescence marketing, les différents acteurs du marché semblent converger plus ou moins rapidement vers une architecture générique qui s'appuie sur des appliances plutôt que sur des composants logiciels (simplicité d'installation puis d'administration, réduction des coûts matériels et de fonctionnement). Nous dans les lignes qui suivent allons faire une études comparative des differentes solution SIEM

Si un agent n est pas nativement compatible avec un équipement. Les Logs sont normalisés par les agents avant qu ils envoient les alertes au manager. E. D. anciennement Exaprotect a été créé en 2004 par la société française Exaprotect. Quand une alerte de corrélation est créée. elle est stockée dans la base de données et est affichée dans la console graphique. La configuration peut de surcroit être réalisée à distance depuis le manager de Loglogic. ce qui permet une meilleure corrélation car les évènements sont déjà rassemblés pour être corrélés. les évènements agrégés sont regroupés par critères définis au préalable. En plus d être affichés dans la console graphique de LogLogic. LOGLOGIC A. CORRELATION Toutes les alertes reçues par LogLogic sont transmises au moteur d agrégation. . B. Cela ajoute un traitement supplémentaire par le SIEM. C'est-à-dire qu ils collectent les logs. NORMALISATION Loglogic utilise le format normalisé IDMEF. c'est-à-dire que le logiciel est indissociable du matériel. et peuvent même être fusionnés ou redéfinis. LogLogic est une « appliance ». ils déterminent lors de l installation le format des logs à collecter et agissent ensuite en autonomie. PRESENTATION Loglogic. L avantage de Loglogic est sa simplicité de mise en oeuvre. les normalisent. Le choix d un format normalisé (IDMEF) permet que les logs soient « compréhensibles » par le SIEM et facilement traité par celui-ci. il faut alors configurer l agent pour qu il puisse comprendre ceux-ci à l aide de règles pour « parser » ceux-ci. De plus. puis les envoient de façon sécurisée au SIEM. Les agents s installent facilement et la configuration est simplifiée. COLLECTE Loglogic fonctionne en mode actif. Celle-ci a été rachetée en 2009 par l entreprise américaine LogLogic et est donc devenu « LogLogic » par la même occasion. C. puis au corrélateur et celui-ci les traite en fonction de ses règles de corrélation. il faut donc déployer des agents sur les équipements à surveiller pour qu ils réalisent la collecte. C est une étape importante qui détermine comment les évènements seront regroupés avant d être envoyés au corrélateur. Les échanges entre les agents et le SIEM sont sécurisés par TLS. Les agents n ont presque pas de configuration.1. AGREGATION LogLogic possède un moteur d agrégation paramétrable à l aide de règles. LogLogic permet de définir des « scénarios » qui sont des regroupements d alertes de corrélation.

un SMS. Les actions réalisables par Loglogic sont nombreuses : on peut envoyer un mail. La réponse se fait à par l envoi d incidents IODEF ou Alertes de corrélation IDMEF à un moteur de réaction quelconque. Figure 1 : schéma de fonctionnement d'un SIEM dans LogLogic . ou même créer un « trap » SNMP De plus Loglogic réalise automatiquement des rapports dynamiques. Celui-ci agira en fonction des évènements reçus. On peut donc décider que pour un type d attaque détecté on réalise une action particulière. GESTION DES ALERTES Loglogic peut réaliser un « reporting » en fonction du type d alerte détectée. envoyer l incident à un autre serveur. qui sont composés de graphiques et de résumes des attaques répertoriées.F.

Un autre avantage est le mode « sonde » : ce mode permet qu un agent soit directement « patché » au code source d un logiciel de sécurité (ils sont alors indissociables). Ce projet est né de l idée que le nombre de systèmes de détection d intrusion augmentait mais qu il n existait pas de système pour les faire communiquer entre eux. COLLECTE Prelude fonctionne en mode actif. réémission) et assurent leurs intégrités. Les mécanismes mis en place empêchent la perte de paquet (autorégulation. Par contre. c est à dire qu il utilise des agents qui sont installés sur les systèmes à surveiller et qui vont s occuper de la phase de collecte. L IDMEF est un format de message pour les évènements de sécurité et les alertes de corrélation. C est donc evidement ce format qui fut choisit pour le SIEM. l agent démarré peut collecter les logs de deux façons différentes : soit il surveille les journaux systèmes de l hôte sur lequel il est installé. PRESENTATION Prelude est un SIEM issu d un projet open source qui fut créé en 1998 par Yoann Vandoorselaere. ce qui diminuait leur efficacité. un évènement de sécurité est créé. l agent (appelé Prelude-LML) doit être configuré. l agent les compare avec ses jeux de règles (basés sur des expressions régulières) et si une condition précise est reconnue. Dans un premier temps. le choix d un format normalisé permet une compréhension simplifiée et une plus grande adaptabilité. contrairement aux échanges entre l agent et les systèmes distants. L avantage de cette méthode de collecte est la flexibilité par rapport au réseau. L intérêt de cette deuxième méthode est de permettre aux systèmes ne supportant pas l agent Prelude de pouvoir être surveillés en envoyant leurs logs à un agent distant. Une fois les informations récupérées. Les évènements et alertes sont donc décrits par ce format de manière à être traité plus facilement par le SIEM. L atout principal de faire normaliser les logs par l agent est d alléger le traitement réalisé par le manager. qui lui envoient leurs logs. PRELUDE A. soit il reçoit les journaux venant de différentes machines placées sur le réseau. Ensuite. Il faut indiquer à celui-ci les formats de logs des logiciels à surveiller pour que celui-ci puisse les prendre en compte. C. la confidentialité (chiffrement TLS) n est pas assurée totalement car seuls les échanges entre l agent et le manager sont sécurisés. Ces messages sont sécurisés (en TLS) et possèdent un mécanisme d'autorégulation pour ne pas surcharger le réseau. NORMALISATION Prelude a participé au projet Intrusion Detection Message Exchange Format (IDMEF). . B.2. La normalisation est réalisée par l agent Prelude-LML qui formate les évènements avant de les envoyer au manager. De plus. Il sert donc uniquement à « mettre en forme » ceux-ci.

grâce à un « plugin ». AGREGATION Prelude ne fait pas d agrégation car il n y a aucun traitement sur les évènements. de la norme IDMEF. Ces alertes sont alors renvoyées au manager qui les stocke. Ce moteur se base sur des règles (écrites en langage python) pour analyser les évènements de sécurité et ainsi créer des « alertes de corrélation ». Il peut également. Le système de corrélation est encore instable.D. on pourra mettre en avant que l écriture des règles est complexe. cependant il possède un système pour améliorer le traitement des informations par les utilisateurs. car elle demande une bonne compréhension du langage python. envoyer des mails d alerte contenant l alerte détectée. E. du réseau surveillé et des attaques surveillées. . Il peut aussi prendre la décision de transmettre l alerte à un autre manager Prelude (dans le cas d un fonctionnement hiérarchique). F. GESTION DES ALERTES Prelude peut réaliser le « reporting » de trois façons : Lorsque que des évènements sont détectés. CORRELATION Tous les évènements envoyés au manager sont stockés puis transmis au moteur de corrélation appelé Prelude-Correlator. Prelude possède des ajouts transmettant les alertes à des moteurs de réaction. il affiche les alarmes via sa console graphique Prewikka.

Figure 1 : Schéma du fonctionnement du SIEM Prelude .

NET REPORT TOOL KIT Analyse des volumes importants de données sous plusieurs angles sur de multiples sources de données. IPS. C. NET REPORT APPLIANCES Les Appliances Net Report offrent une souplesse de configuration dans un châssis 2U et sont destinés aux sociétés qui souhaitent une capacité de traitement maximum dans un espace minimum. PRESENTATION La société Net Report a été crée en 2001 dans le but de fournir une solution globale à l exploitation des évènements logs et pour donner une lisibilité aux évènements. NET REPORT MONITORING CENTER Net Report Monitoring Center répond à l ensemble des problématiques d exploitation des logs. Web. D. créez des requêtes ad hoc et des rapports personnalisés avec la charte graphique de l entreprise. En 2003. Net Report a fusionné avec la société DataSet. Il offre deux offres pour les entreprises : Net Report Log Analyser Net Report Monitoring Center Net Report Tool Kit Net Report appliance Net Report Log Analyser permet de centraliser et stocker l ensemble de vos logs en un point central. Avec plus d une centaine de tableaux de bord. Véritable solution de Business Intellignce. Net Report fournit : Des solutions complète d exploitation des logs : produits Net Report.. Centralisant l ensemble des évènements en un point central.3. NET REPORT A. Domains Windows. c est l outil indispensable pour l analyse de l activité de vos équipements Firewalls. B. Serveur de Messagerie et Serveur Anti-Virus. UTM. . Outils d analyse de logs et gestion proactive des évènements de sécurité. offre un reporting avancé grâce à des tableaux de bords décisionnels. Proxy. elle génère des alertes. Net Report analyse en temps réel l activité de votre infrastructure sécurité et réseaux. ainsi que des outils d investigation évolués (cubes OLAP) afin de vous apporter une vision complète de vos évènements en temps réel.. DataSet est spécialisée dans les solutions de Business Intelligence depuis plus de 10 ans. En 2004.

Net Report Monitoring Center* et Net Report Tool Kit dans une architecture : .E. L OFFRE NET REPORT EN CONTEXTE Le diagramme ci-dessous illustre les parties propres à chacun de nos 3 produits : Net Report Log Analyser.

A partir de différents format de logs / média Les données peuvent être collectées soit en Syslog*. Serveurs. Proxy.F. Valeur légales Les logs sont stockés dans leur format natif afin d être présentés si nécessaire comme preuve lors d une enquête ou commission rogatoire. Les logs en fonction des médias peuvent être collectées en temps réel ou en temps différé. H. Compression et Chiffrement Les fichiers de logs sont signés. Serveur d Authentification. Ces actions planifiées permettent de réduire de manière considérable le volume dans les bases de données (Coefficient de 25 pour les équipements de type proxy ou Firewalls) . Table SQL. compressés et chiffrés avant d être archivés. normalise. IDS (Intrusion Detection System). Serveur Web. Format de logs archivables Net Report archive tous les fichiers de logs au format. Intégrité. dictionnaires) afin d en améliorer la lisibilité. Annuaire LDAP. * Net Report est lui-même serveur Syslog Centralisation en 1 point unique Toutes les données sont centralisées dans une base de données pour la génération des tableaux de bords et pour l investigation. Archivage Les données sont collectées et stockées en format brut à travers le module Net Report Log Archive afin d assurer l intégrité des données dans le temps. Les données peuvent être enrichies en temps réel par des informations contenues dans des sources externes (RDNS. compressés et chiffrés de manière journalière (par type de périphérique et/ou date). à partir de fichier Flat File ou à travers certains protocoles propriétaires tels que CheckPoint LEA. filtre les données en temps réél. Les fichiers de données brutes sont signés. IPS (Intrusion Prevention System). COLLECTE La collecte se fait : A partir de périphériques hétérogènes Net Report supporte les principales catégories d équipements du marché : Firewall. syslog. Passerelle Anti-Virus. G. consolide et purge les données dans la base de données de manière automatique. Serveur E-mail. FILTRAGE ET ENRICHISSEMENT DES DONNEES Le moteur Net Report ULA (Universal Log Analyser) analyse. Windows WMI ou Radius. BASE DE DONNEES Net Report agrège. Chaque moteur Net Report permet d insérer dans la base de données plusieurs dizaines de millions d évènements par jour. fichiers à plat ou API propriétaires.

Net Report offre quatre moyens de corréler des évènements de sécurité des équipements divers pour identifier des incidents de sécurité et le déclenchement des alertes : Déclencher une alerte quand les modèles / les conditions / les relations prédéfinis sont atteints / satisfaits.I. ou dans un dictionnaire. Net Report remonte en temps réel les alertes à vos équipes techniques via e-mail. de les filtrer ou de les acquitter. Il offre des simples et multi-équipements par défaut. La Console web vous permet de facilement gérer les alertes en temps réel. K. Les avantages de la corrélation des évènements sont nombreux. Déclencher une alerte quand le résultat d une requête dans la base de données atteint certains des critères définies dans la règle. Net Report fournit plus d une centaine d alertes et d exemples de corrélation par défaut. La Console d alerte permet de plus de gérer le niveau des alertes. Les alertes sont envoyées sur une console d alerte web ou par email. Cette requête peut être planifier. J. Ces données doivent être analysées en temps réel et elles sont utiles dans plusieurs scenarios de sécurité. Ce moyen facilite l analyse sur les périodes étendues. Net Report collecte. Net Report offre un moyen simple de définir certaines constantes d évènements. archive et analyse des volumes de données importantes. et corrélée avec des données dans la base de données. . Déclencher une alerte si une des actions ci-dessus est identifiée. CORRELATION ET ALERTING Des fonctions avancées de corrélation et d alerting vous permettent de détecter en temps réel les attaques et d identifier les vulnérabilités. GENERATION DE TABLEAUX DE BORD La génération des tableaux de bord peut être automatisée et planifiée dans le temps (tâche journalière. CUSTOMISATION DES RAPPORTS Notre tool kit (rapports) vous permet de créer vos rapports spécifiques et de personnaliser le look & feel de vos tableaux de bord. par exemple pour les scans de ports. par Trap SNMP et/ou par Syslog. elle vous permet d optimiser votre « Business Continuity » et d empêcher la perte du revenu à cause de « downtime ». Trap SNMP ou sur notre propre console (Q2 2006) dans le but d isoler et de résoudre rapidement les problèmes potentiels. de règles et des actions liées afin de simplifier le monitoring des évènements réseaux. Des fonctions avancées de Drill-Drown permettent une navigation intuitive et offrent la possibilité d aller rapidement aux informations de détails. La corrélation vous permet d augmenter l efficacité de votre équipe informatique. Net Report corrèle les évènements d une gamme importante d équipements réseaux pour faciliter la prise des décisions et garantir un niveau élevé de sécurité. hebdomadaire ou mensuelle) Les tableaux de bord peuvent également être générés en temps réel. Les administrateurs peuvent facilement utiliser la fonction avancée pour créer des alertes et des actions personnalisées. Déclencher une alerte quand un seuil est atteint avec un timeout de session prédéfini (Compteur de mémoire).

Figure 1 : schéma de fonctionnement du SIEM Net Report .

le rapatriement.4. de réseau et des serveurs. La normalisation. NS One marque clairement sa volonté de changement en proposnt LOG One. définit des tableaux de bord paramétrables et génère automatiquement des rapports utilisés pour la mise en uvre des procédures récurrentes du suivi et du contrôle de la politique de sécurité. la façon de les collecter et de les centraliser ayant une influence capitale sur les fonctionnalités qui peuvent être offertes. Les évènements collectés sont corrélés en temps réel pour produire des alarmes pertinentes et enregistrées en parallèle pour une analyse ultérieure. OCBC. File. confiner. D. la corrélation et le stockage sont ensuite réalisés par Log Manager. le filtrage. distants et locaux. La nature des évènements collectés. analyse et corrèle les logs des équipements de sécurité. . Syslog. enquêter. FILTRAGE. LOG One centralise. corriger et documenter. B.. PRINCIPE DE FONCTIONNEMENT La centralisation des logs a pour objectif de pouvoir disposer d une vue unifiée de toutes les sources d évènements pertinentes pour la gestion de la sécurité. dé-tecter. LOG One génère des alertes. PRESENTATION Net Secure devenue NS One est un acteur spécialisé offrant une solution de sécurité globale personnalisable répondant à l´ensemble des besoins de sécurité applicative des entreprises mais également une solution de supervision globale de la sécurité. La solution couvre le cycle méthodologique complet de la gestion d´incident : prévenir. Ils sont ensuite envoyés à un collecteur universel d évènements qui les rapatrie sous les formats standards (LEA. installés sur des boîtiers dédiés et placés près des équipements de sécurité ou directement sur les serveurs. LOG ONE DE NS ONE A. C. une solution de supervision et d´interprétation des logs générés par l´ensemble des équipements installés sur le réseau de l´entreprise. COLLECTE La solution Log One est basée sur un système d agents non intrusifs.). installés sur des boîtiers dédiés près des équipements de sécurité ou directement sur les serveurs. RAPATRIEMENT. CORRELATION ET STOCKAGE Les logs sont collectés par des agents non intrusifs distants et locaux. La corrélation d événements de plusieurs équipements permet le déclenchement d alarmes et d actions paramétrables. Un système expert étudie en permanence l´historique des évènements collectés pour compléter l´analyse en temps réel par des rapports.. La génération automatique de rapports d analyse et leur transmission par e-mail ou encore l émission d alertes SNMP à destination des plates-formes d administration et de supervision facilitent une exploitation 24/24 H. Le filtrage défini par l administrateur élimine tous les événements considérés comme inutiles. NS One propose pour renforcer ce positionnement sur le marché et conforter la volonté de l´éditeur de devenir en 2008 l´un des acteurs majeurs de la sécurité applicative.

ELABORATION DE RAPPORTS DETAILLES Afin de simplifier la mise en oeuvre d une procédure de surveillance régulière et d alertes. L émission d alertes SNMP à destination des plateformes d administration et de supervision. La génération automatique de rapports d analyse et la transmission par e-mail. automatiquement diffusés aux administrateurs de sécurité lorsque des alarmes sont déclenchées par des comportements interdits ou par des attaques. Figure 1 : schéma de fonctionnement du SIEM Log One . E. La réalisation d analyses approfondies à travers un éditeur de requêtes paramétrable. La corrélation d évènements de plusieurs équipements pour permettre le déclenchement d alarmes et d actions paramétrables.La solution LOG One embarque le module Manager. Il assure : Le filtrage de tous les évènements considérés comme inutiles. LOG One permet d établir des rapports définis.

On trouvera par ailleurs une base Oracle et un serveur web de la famille Apache pour archiver les données et offrir une interface graphique (technologies web). qui facilite la prise de décision en matière de sécurité. Les différents modèles d'appliances sont décrits dans le tableau de la Figure 2. L'OS des serveurs est basé sur un linux renforcé. PRESENTATION Cisco Security Monitoring. Dans l'absolu. L'interface de gestion des appliances est accessible au travers des protocoles sécurisés HTTPS (TCP 443) et SSH (TCP 22). Analysis and Response System (Cisco Security MARS) est un dispositif hautes performances évolutif d'administration et de surveillance. Attention cependant. Cette remarque restera par ailleurs valable pour les produits Cisco trop récents pour que des scénarios aient été déjà intégrés (exemple le CUCM). Ces protocoles sont sécurisés et offrent les fonctions d'authentification. LES APPLIANCES CS MARS CS MARS est livré sous forme d'appliance. il sera préférable de placer le CS MARS derrière des firewalls et IPS ainsi que dans une zone réservée à l'administration pour lui éviter d'être la cible d'attaques externes auquel il peut être sensible comme tout serveur. Ce point est traité dans un des derniers paragraphes du document. cette application contiendra de nombreuses informations sensibles sur le réseau qu'elle aide à protéger. CS MARS se positionne donc clairement comme une solution de type SIEM avec pour ambition d'apporter cette réponse non seulement aux infrastructures Cisco mais aussi dans des réseaux hétérogènes. CISCO SECURITY MARS A. HTTP et Telnet sont désactivés de façon permanente. Ces différents éléments sont mis à jour à chaque nouvelle version ou patch. B. il est important de se souvenir que le travail qu'il faudra fournir pour paramétrer CS MARS sera beaucoup plus important que sur une solution 100% Cisco. N'oublions pas qu'une fois configurée. . de chiffrement et d'autorisation. Il arrive donc sous forme d'un produit pré packagé ayant une plateforme physique définie avec un OS et un produit livré par l'éditeur et non modifiable.5. Les utilisateurs n'auront en aucun cas accès aux fonctions sous sousjacentes de l'OS.

Figure 1 : Les différents modèles d'appliance .

Il faut deux heures pour environ 300 périphériques. Interprétation des logs. Les solutions STM se doivent d'être temps réels et de proposer des contre mesures de façon pro actives de manière à défendre le réseau en lui apportant les contre mesures nécessaires au moment les plus opportun.C. L'apport d'une réponse en temps réel permettant de bloquer une attaque. Intégration de fichiers de topologie externes (support HP OV ou Cisco works). Remarque : CS MARS possède plusieurs méthodes d'apprentissage pour connaître la topologie d'un réseau: Découverte du réseau (SNMP. LA GESTION DES PROBLEMATIQUES STM La gestion des problèmes de sécurité détectés ou STM. L'intégration de scénario permettant des audits amont de la solution permet de réduire le nombre de faux positifs et d'améliorer le paramétrage de la solution pour gagner en efficacité. Telnet. Les algorithmes de corrélation détectent alors des points chauds ou une attaque se déroule sur le réseau. Entrées manuelles. La réponse apportée se porte alors non seulement sur les équipements directement attaqués. SSH). . mais aussi sur l'ensemble des éléments périphériques pouvant permettre de bloquer l'attaque en amont. Apport d'une interface graphique permettant d'identifier tous les éléments du réseau et leurs configurations mais aussi les emplacements d'incidents ou d'attaques. Les technologies STM commencent au même en collectant les informations des différents équipements. La plus value des technologies STM se résume essentiellement au travers des points suivants : Une connaissance approfondie de la topologie du réseau et de son adressage permettant de réduire le volume important de log générer aux éléments clés permettant de cibler un incident. Le STM permettra d'automatiser le travail portant sur les problématiques sécurité bien identifiées pour permettre aux équipes de se focaliser sur les nouvelles menaces et les réponses à trouver.

Figure 3. La gestion d'un événement au sein de CS MARS .

Protocoles utilisées pour les remontées d'alarmes : Syslog. des actions correctives pouvant déjà être enclenchées en fonction du paramétrage. . Mail. Signal sonore. C'est cette possibilité de provoquer une réaction temps réel et adaptée à l'incident qui place le produit CS MARS comme un brique importante du concept de Self Defending Network (réseau se défendant seul) poussée en avant par Cisco. . telnet ou SSH. LA GESTION DES ALARMES AVEC CS MARS Par alarme. La gestion de ces alarmes pourra se faire au travers de différentes méthodes suivantes : SNMP. La Figure 4 présente un rapport remontant un premier niveau d'information suite à des évènements anormaux détectés par CS MARS. Syslog. HTTPS. SDEE. HTTP.D. La gestion des incidents détectés se ferra soit de façon pro active soit sous réserve de validation par un administrateur au travers d'éléments comme ceux-ci : Envoi de TCP reset. Messages texte. Isolation de VLAN. une corrélation d'évènement (mécanisme sommairement présenté en Figure 3) sera réalisée en amont de l'alarme envoyée à l'administrateur permettant ainsi de réduire les faux positifs. SNMP. Avec un CS MARS. Les modifications concernant un écosystème élargi (voir le diagramme de l'attaque en Figure 3) seront soumises comme des alternatives complémentaires et nécessiteront une approbation. Mise en place d'access-list. OPSEC-LEA (Clear and encrypted). SMS. SQLNet. Politique de sécurité plus globale pour le réseau. Ces modifications porteront en premier lieu sur les équipements impactés.. JDBC. RDEP. Fermeture de ports. On se reportera à la Figure 5 comme exemple concret. La liste ci-dessous donnera une indication sur les protocoles supportés pour assurer les remontées d'alarmes. au lieu d'avoir une simple remontée d'alarme. On prendra par exemple le blocage d'un paquet suspect par un IPS et la trap SNMP qui est déclenchée suite à cette action au système de supervision. on parle du cycle d'action déclenché par une remontée d'incident.. POP. de qualifier très précisément le problème et de se concentrer directement sur les points essentiels. RPC. La connexion aux équipements devant être modifiés se fera au travers de SNMP.

Figure 2 : Premier niveau d'information d'une alerte E. Par conséquent. LES RAPPORTS SOUS CS MARS Pour un outil de type STM. GESTION DE L'ARCHIVAGE AVEC CS MARS CS MARS est basé sur une base Oracle. En effet. le produit perdra beaucoup de sa valeur car l'essentiel de l'information ne parviendra pas aux administrateurs en temps et heure. CS MARS intègre un choix important de rapport déjà construits qui permettront de traiter la plupart des cas rencontrés classiquement dans la vie d'un réseau. Celle-ci est bien sur correctement configurée pour l'ensemble des opération du produit et ne demandera pas de compétence particulière pour l'administrée. F. l'ensemble des systèmes de connexion traditionnels de ce produit ont été désactivés et seules les opérations réalisées par l'interface d'administration ou les services de CS MARS seront autorisées. On notera que le produit possède des mécanismes d'export et de sauvegarde de la base vers des NAS permettant éventuellement de restaurer le système avec une perte minimum de données si un problème devait survenir sur le système. La structure de la base n'est pas publiquement divulguée par Cisco. si ces éléments ne sont pas bien traités. les problématiques de création de rapports et de requêtes sont un point absolument essentiel à regarder. Ces derniers permettent .

Création des modèles nécessaires au parser il s agit ici d indiquer quel est le format des messages qui seront reçu par CS MARS et comment chacun d entre eux devront être interprétés. modèles et version sont renseignés pour une bonne identification par le système. Intégration d'un périphérique tierce.com/docs/DOC-2302 (l'enregistrement est gratuit). Le moteur chargé d'exécuter les différentes requêtes et de générer les rapports pourra être paramétré pour travailler en temps réel ou différé si l'on souhaite éviter d'accaparer trop de ressources pour cette tache à certaines périodes.jiveso ftware. permettant ainsi de modifier ou de créer des rapports prenant en compte les particularités d'un environnement donné. il est absolument nécessaire d effectuer cette étape avec sérieux et minutie. Les méthodologies d'audit COBIT sont elles aussi intégrées. Les personnes souhaitant plus de détails pourront se connecter à l'url suivante : https://cisco.hosted. PCI et GLBA. CS MARS propose désormais des rapports prenant en compte les spécificités des référentiels SOX. Définition des règles cette étape est optionnelle si l on souhaite simplement intégrer les messages de l équipement dans certains rapports. il sera nécessaire de créer un parser personnalisé.de partir d'informations globales et de relativement haut niveau pour arriver aux éléments très détailler (voir Figure 5). Il est intéressant de constater que même si l'accès à la base de donnée n'est pas accessible. . Par contre. Il est indéniable que l'intégration de rapports concernant ces référentiels devrait fortement facilité le travail des administrateurs devant montrer les conformités. Pour intégrer un périphérique inconnu dans CS MARS. Ceci sera réalisé en trois grandes étapes (Figure 6) : Définition du nouveau type de périphérique les noms. C est d elle que viendra la pertinence des réactions de CS MARS pour le périphérique. s il est destiné à être intégré dans la gestion d incidents. un moteur de création de requêtes existe.

Exemple de rapports Figure 6. Intégration d un périphérique tierce .Figure 5.

Le listing 3 donnera quelques chiffres indicatifs permettant de calculer le volume généré par un réseau. Dans ce cas. Les périphériques intégrés pour travailler avec CS MARS envoient les logs vers ces derniers. Chaque contrôleur local n'ayant qu'une vision limitée à son périmètre. Figure 7.G. L'architecture réseau comprend des sites distants reliés à l'aide de liens WAN. Il sera absolument nécessaire par ailleurs de calculer l'espace disque nécessité pour archiver l'ensemble des logs qui seront générés par l'installation supervisée. le contrôleur global demande uniquement les informations nécessaires au contrôleur local et évite ainsi de saturer le lien WAN. Dans ce cas. La supervision de la solution complète est effectuée depuis le contrôleur global. L'utilisation du modèle utilisant deux types de contrôleur devra prendre en compte les éléments suivants : Le volume de log total généré par les périphériques supervisés ne peut être absorbé par un seul serveur (20 000 logs/s et 600 000 netflows/s). des contrôleurs locaux sont placés sur différents sites. Les contrôleurs locaux permettront à chaque département de répondre à ses propres exigences tandis que le contrôleur global amènera une vision globale et pourra être placé dans un SOC. Il est couramment considéré que si 60% de la capacité d'EPS du serveur est atteinte. On pourra considérer que la taille moyenne d'un log sera de 300 octets. Les périphériques supervisés ne pourront jamais envoyer directement des données au contrôleur global. Synoptique d'architecture avec les deux types de contrôleurs . QUELQUES CONSIDERATIONS D'ARCHITECTURE La façon la plus simple de travailler avec la solution CS MARS est de déployer un seul contrôleur. il devient nécessaire d'envisager une mise à jour pour assurer le bon fonctionnement. La seconde possibilité nécessite l'utilisation de deux briques appelées contrôleur global et local. soit une seule appliance collectant l'ensemble des logs générés par les périphériques réseaux ou les serveurs et assurant l'analyse des données. La société est composée de nombreux départements ou filiales avec des besoins spécifiques. La formule suivante permettra alors un premier calcul : Nbre de jour archivés = Taille réservée à l'archivage / (Taille du log (donc ici 300 en moyenne) * EPS * 86.400).

Ces produits peuvent être achetés et déployés séparément ou ensemble. analyser et gérer les informations relatives aux événements d'entreprise. une société HP. accès aux fichiers. Elles comprennent des logiciels et appareils pour: Collection événement Gestion des journaux Automatisation Conformité Surveillance d'identité Offrant des avantages tels que : · · · · · · performance. a été fondée en 2000 et est une société technologique qui fournit des informations de sécurité et de gestion des événements (SIEM) des solutions. PRESENTATION: ArcSight. mais elles sont également présentées par rapport à leur influence sur les processus commerciaux . selon la taille des entreprises et des besoins. ArcSight est en pole position du Quadrant magique de Gartner concernant les principaux éditeurs de solutions SIEM pour Mai 2010 ArcSight Enterprise Security Manager (ESM): moteur d'analyse de base pour gérer les menaces et les risques au sein de la plate-forme ArcSight constituée de : * ArcSight Logger: stockage des journaux de la plateforme et la solution de recherche * ArcSight Express: la corrélation et la gestion des logs * ArcSight IdentityView: suivi des activités des utilisateurs * Connecteurs ArcSight: la collecte des données provenant de diverses sources de données * Applications vérificateur ArcSight: surveillance continue des contrôles automatisés La plate-forme ArcSight supporte également la virtualisation. et. déconnexions. fiabilité adapté aux besoins des grandes entreprises procédures et les priorités de l organisation créée une liaison entre les exigences techniques de sécurité et l objectif commercial possibilités complètes d application et fonctions add-on non seulement les informations sur la sécurité sont regroupées. ainsi. etc. les environnements informatiques mobiles et de nuages ArcSight ESM assure l analyse et la corrélation de l ensemble des événements survenant dans l entreprise connexions. requêtes de bases de données. paramétrage. une définition précise des priorités de contrôle des risques de sécurité et des violations de conformité. des données qu ils voient. ArcSight ESM constitue une application unique en matière de maîtrise du type d utilisateurs du réseau.6. ARCSIGHT ESM A. des actions dans lesquelles ils sont engagés avec quelles données et de compréhension de la manière dont cela affecte le risque d affaires. AVANTAGES DE CETTE SOLUTION: La plate-forme ArcSight SIEM est un ensemble intégré de produits pour collecter.

informations de vulnérabilité. caractéristiques d actifs identification automatique des modèles enregistrement des données à 100% et optimisation de l enregistrement incident Management intégré et contre-mesures automatiques contre les attaques identifiées peut-être installé sur tous les systèmes d exploitation courants permet le temps réel et l analyse légale des informations accès à base de rôles fonctions d analyse hautement développées l efficacité et la performance du département sécurité sont renforcées ArcSight SIEM plateforme .· · · · · · · · · corrélation tridimensionnelle : informations de sécurité des différents produits.

moniteurs de données. l'analyse et le workflow * Encapsulé application Java. Une grande organisation a environ plusieurs centaines de différents Logdatenquellen qui surveille. Pour l'analyse. Swap sur un seul fournisseur de pare-feu pour une autre. l'analyse et de reporting de ArcSight Manager stocke les événements reçus dans la base de données ArcSight. Le gestionnaire ArcSight est un système basé sur le serveur qui fournit une gestion des données. la logique de corrélation et les moniteurs d'affichage d'informations et de contrôles. de corrélation et continuera à travailler comme défini. l'affichage. puis normaliser ces données dans un format commun. des tableaux de bord et des rapports C. Il constitue la base de différencier clairement les troubles de workflows. FONCTIONNALITES CLES * Analyse et la normalisation des événements du journal * Les collecteurs de données pour divers Logdatenquellen * Filtrage et agrégation d'événements Catégorisation * des événements dans un générique (fabricant indépendant) de format . En conséquence. Cela permet à la détection des problèmes et le temps de résolution requise peut être réduite de manière drastique. Connecteurs ArcSight isole votre sécurité et analyse de la conformité de vos choix technologiques. ArcSight connecteurs intelligents sont capables de collecter des milliers d'événements par seconde et l'envoyer au gestionnaire ArcSight. la plate-forme d'analyse est à l'épreuve des nouvelles technologies réseau. Connecteurs ArcSight découple la capacité d'une organisation pour analyser les risques de vulérabilité des périphériques réseau. connecteurs ArcSight produit une structure unique pour la recherche.B. FONCTIONNALITES CLES * Composante centrale de la corrélation en temps réel. COLLECTE ArcSight Smart Connector collecter des événements du journal à partir de différentes sources et de les passer à travers l'utilisation de l'infrastructure réseau existante pour le gestionnaire ArcSight. fonctionnant sur différents systèmes d'exploitation * Rédaction du flux de données d'événements provenant du connecteur ArcSight ArcSight Smart dans la base de données * Pré-filtres. règles. Les connecteurs sont disponibles en tant que logiciel installable. ou des appareils branch-office/store petits. les appareils du centre de données. et tous les rapports de conformité. doivent être consolidés et fusionnés. ARCSIGHT MANAGER Le gestionnaire ArcSight est le c ur de l'ESM ArcSight. la corrélation et de reporting sur les informations de l'événement. En recueillant les journaux dans des formats de périphérique natif.

FONCTIONNALITES CLES * une interface basée sur Java. ainsi que les Création de contenu ArcSight (telles que le filtrage. règles. tableaux de bord. Outre le stockage des événements du journal est stocké dans la base de données et la configuration de l'ESM ArcSight ArcSight . ou lors de la génération de rapports.D. les règles de corrélation. rapports. alarmes. tableaux de bord. filtres.. la modélisation des réseaux. affiche. rapports. Une indexation efficace et efficiente des données fournit un accès rapide à des événements historiques dans l'analyse des journaux de sécurité. groupes. etc FONCTIONNALITES CLES * Référentiel central pour tous les événements du journal normalisé * Stockage efficace par compression. La console ArcSight est également l'outil central pour gérer et administrer le dar ESM ArcSight. * Permet de contrôler l'accès basé sur les rôles. conçu pour Operation Center de sécurité * Fournit des outils pour la définition des filtres. ANALYSE DE LA SECURITE AVEC LA CONSOLE ARCSIGHT La console ArcSight fournit l'interface globale pour tous les utilisateurs d'ArcSight ESM alors que l'utilisation de la zone de la console ArcSight comprend l'exploitation d'une exploitation COS (Centre d'Opération de Sécurité) qui se concentre sur le suivi des indicateurs d'alerte et le signalement des incidents est. règles.tels que Les utilisateurs. rapports. les paramètres d'autorisations. partitionnement et l'archivage * Base de données relationnelle basée sur Oracle 10g * Fournir des données en fonction du volume DB-volume et de données dans la plage allant jusqu'à plusieurs mois E. à partir d'un tableau de bord simple de créer des règles de corrélation complexes . etc) pour l'analyse de la sécurité en aval. etc. ARCSIGHT BASE DE DONNEES La base de données est une base de données ArcSight relationnelle Oracle optimisée pour le stockage de tous les événements du journal.

gaspillage de temps et d'argent. Contrairement aux autres produits de gestion des logs. si ArcSight ESM détecte un employé potentiellement accéder à des enregistrements dans un de manière non autorisée. gérer et rapports contre les données du journal d'entreprise. ArcSight Logger. ESM est disponible comme logiciel configurable ou comme un appareil (ArcSight ESM E7100). En conséquence. Corrélation effective est très importante. ArcSight ESM rend les organisations plus efficaces et plus sécurisés par filtrer le «bruit» et en se concentrant sur les incidents les plus importants. En utilisant ESM et ArcSight Logger ensemble. ainsi que d'alerte par e-mail. ArcSight Logger offre de recherche et de reporting. G. GESTION DES ALERTES ArcSight produit de log management. même les clients qui n'ont besoin que simple bénéfice d'alerte et de reporting de «Forensics à la voléesont servis. avec drill down à partir d'un complexe d'alerte aux événements qui il a causé. ce qui la session VPN à débrancher. Threat Response ArcSight Manager (TRM) peut fournir aux administrateurs pilotées par les processus des conseils pour endiguer le problème. Un seul appareil peut effectivement stocker jusqu'à 35 To de données journal. puis les comparer aux données historiques pour plus de contexte. etc et ensuite un guide de l'administrateur à travers les mesures appropriées.F. ArcSight TRM peut déterminer quels actifs Annuaire en compte pour désactiver. et peut être déployé sur ses propres ou avec ArcSight Logger et connecteurs ArcSight. ArcSight ESM fournit "Forensics sur le Fly "en temps réel par l'intermédiaire de corrélation sur plusieurs systèmes et des millions d'événements. est un appareil autonome pour stocker. Réponse automatique Lorsque ArcSight ESM détecte un problème potentiel via la corrélation des événements. Par exemple. SNMP ou d'une console Web. résultats de corrélation pauvres soit manquée menaces ou de trop nombreux faux positifs et donc. les clients peuvent trouver des anomalies en temps réel. sans besoin de réglage ou d'optimisation. le moteur de réponse guidée facultative. ArcSight Logger fournit drill-down à partir des alertes et des rapports sur les événements source derrière l'alerte ou de rapport. CORRELATION Corrélation avancée ESM utilise une variété de techniques sophistiquées pour passer au crible millions des événements pour trouver les incidents qui peuvent avoir un impact véritable sur l entreprise. .

Installable sur le dessus de la plate-forme ArcSight SIEM. AUTOMATISATION DE CONFORMITE ArcSight conformité Forfaits Insight est un moyen idéal pour lancer un projet de conformité ou d'automatiser le suivi du manuel existant contrôles de conformité. Grâce à l'automatisation et la meilleure pratiques. ArcSight conformité Forfaits Insight peut réduire considérablement le coût et les efforts de conformité. Ces modules fournissent de pré-emballés règles. Figure 1 : Scema de fonctionnement du package ArcSight ESM . tableaux de bord et alertes mappés à des réglementations spécifiques. rapports.H.

Nous conclurons sur l intérêt de l utilisation d un système tel que le SIEM pour une entreprise. la possibilité de pouvoir récupérer et agréger la totalité des logs du réseau permet d avoir à la fois une vision complète. Nous pouvons conclure que les SIEM en gestion centralisée permettent une réelle sécurisation du système. Les SIEM étudiés ont chacun leurs particularités. Nous pouvons donc trouver une multitude de SIEM sur le marché avec aussi bien des ressemblances que des divergences qui font les faiblesses et forces de chacun. Pour cela. Le « reporting » est presque identique. Les développeurs de logiciels de SIEM ont un panel de caractéristiques possibles à exploiter et ceux-ci choisissent ce qui les intéresse en fonction de leur politique technique. ce qui lui permet une très large compatibilité avec d autres logiciels et équipements. Par exemple la centralisation peut amener rapidement un problème de disponibilité du service si le manager est défaillant. ArcSight. organisationnelle et commerciale. nous avons commencé par expliquer le contexte : l intérêt de l utilisation de cette méthode centralisé. ainsi que des standards. Les autres produits tel que LogLogic. Une théorie des SIEM existe donc. En effet. . mais que l on doit s assurer de leur disponibilité.CONCLUSION : L objectif de ce rapport était d apporter des réponses quant au fonctionnement des SIEM dans le cadre d une gestion centralisée. et qu il semble malvenu d utiliser les envois non sécurisés de logs. Prelude que nous avons jugé utile de faire l étude vient du monde open-source. CS-MARS sont des produits issus de l industrie et possède un système de traitement des alertes très performant. Notre étude nous a aussi permis d étudier les principaux avantages de la gestion centralisée : la simplicité de configuration du manager la visibilité globale du réseau par le manager la cohérence des alertes et des décisions menées Cependant cette technique possède aussi des faiblesses. moyennant finance évidemment. La combinaison de ces deux éléments (vison + compréhension) fait des SIEM un élément nécessaire en terme de sécurité informatique et est donc indispensable pour les entreprises. mais aussi une compréhension affinée des évènements qui se passent sur celui-ci. ainsi que deux implémentations concrètes. Les SIEM sont de plus très évolutifs car leurs auteurs permettent aux diverses entreprises de demander des améliorations et modifications surmesure. puisque Prelude en version professionnelle a de nombreux ajouts. Nous avons ensuite étudié le fonctionnement théorique de cette méthode.

Sign up to vote on this title
UsefulNot useful